Machtigingen voor het weergeven en beheren van Azure-besparingsplannen

In dit artikel wordt uitgelegd hoe machtigingen voor spaarplannen werken en hoe gebruikers Azure-spaarplannen kunnen bekijken en beheren in Azure Portal.

Wie standaard een besparingsplan kan beheren

Twee verschillende autorisatiemethoden bepalen de mogelijkheid van een gebruiker om machtigingen voor besparingen te bekijken, beheren en delegeren. Ze zijn factureringsbeheerdersrollen en RBAC-rollen (op rollen gebaseerd toegangsbeheer).

Rollen van factureringsbeheerder

U kunt machtigingen voor spaarplannen weergeven, beheren en delegeren met behulp van ingebouwde factureringsbeheerdersrollen. Zie Meer informatie over Microsoft-klantovereenkomst en Enterprise Overeenkomst factureringsrollen in Azure begrijpen Microsoft-klantovereenkomst beheerrollen in Azure en Azure beheren Enterprise Overeenkomst respectievelijk rollen.

Factureringsbeheerdersrollen die vereist zijn voor acties voor spaarplannen

• Spaarplannen weergeven:
  • Microsoft-klantovereenkomst: Gebruikers met de lezer van het factureringsprofiel of hoger
  • Enterprise Overeenkomst: gebruikers met ondernemingsbeheerder (alleen-lezen) of hoger
  • Microsoft Partner-overeenkomst: niet ondersteund
• Besparingsplannen beheren (bereikt door machtigingen voor het volledige factureringsprofiel/de volledige factureringsprofiel/inschrijving te delegeren):
  • Microsoft-klantovereenkomst: Gebruikers met inzender voor factureringsprofielen of hoger
  • Enterprise Overeenkomst: gebruikers met Enterprise Overeenkomst beheerder of hoger
  • Microsoft Partner-overeenkomst: niet ondersteund
• Machtigingen voor besparingenplan delegeren:
  • Microsoft-klantovereenkomst: Gebruikers met inzender voor factureringsprofielen of hoger
  • Enterprise Overeenkomst: Gebruikers met Enterprise Overeenkomst koper of hoger
  • Microsoft Partner-overeenkomst: niet ondersteund

Spaarplannen weergeven en beheren als factureringsbeheerder

Als u een factureringsrolgebruiker bent, volgt u deze stappen om alle spaarplannen en spaarplantransacties in Azure Portal weer te geven en te beheren.

1. Meld u aan bij Azure Portal en ga naar Cost Management + Billing.
   • Als u zich onder een Enterprise Overeenkomst account bevindt, selecteert u factureringsbereiken in het linkermenu. Selecteer vervolgens een bereik in de lijst met factureringsbereiken.
   • Als u zich onder een Microsoft-klantovereenkomst account bevindt, selecteert u factureringsprofielen in het linkermenu. Selecteer een profiel in de lijst met factureringsprofielen.
2. Selecteer producten en services>spaarplannen in het linkermenu. De volledige lijst met spaarplannen voor uw Enterprise Overeenkomst-inschrijving of Microsoft-klantovereenkomst factureringsprofiel wordt weergegeven.
3. Gebruikers van de factureringsrol kunnen eigenaar worden van een spaarplan met de order voor het spaarplan: de REST API uitbreiden om zichzelf Azure RBAC-rollen te geven.

Factureringsbeheerders toevoegen

Voeg een gebruiker toe als factureringsbeheerder aan een Enterprise Overeenkomst of een Microsoft-klantovereenkomst in Azure Portal.

• Enterprise Overeenkomst: Voeg gebruikers toe met de rol Ondernemingsbeheerder om alle orders voor het spaarplan weer te geven en te beheren die van toepassing zijn op de Enterprise Overeenkomst. Ondernemingsbeheerders kunnen besparingsplannen bekijken en beheren in Kostenbeheer en facturering.
  • Gebruikers met de rol Ondernemingsbeheerder (alleen-lezen) kunnen alleen het besparingsplan bekijken van Cost Management + Billing.
  • Afdelingsbeheerders en accounteigenaren kunnen geen spaarplannen weergeven, tenzij ze expliciet aan hen worden toegevoegd met behulp van Toegangsbeheer (IAM). Zie Azure Enterprise-rollen beheren voor meer informatie.
• Microsoft-klantovereenkomst: Gebruikers met de rol eigenaar van het factureringsprofiel of de rol van inzender voor factureringsprofielen kunnen alle aankopen van het spaarplan beheren met behulp van het factureringsprofiel.
  • Factureringsprofiellezers en factuurbeheerders kunnen alle besparingsplannen bekijken waarvoor is betaald met het factureringsprofiel. Ze kunnen echter geen wijzigingen aanbrengen in besparingsplannen. Zie Rollen en taken van een factureringsprofiel voor meer informatie.

RBAC-rollen voor spaarplannen

De levenscyclus van het spaarplan is onafhankelijk van een Azure-abonnement. Besparingsplannen nemen na de aankoop geen machtigingen over van abonnementen. Besparingsplannen zijn een resource op tenantniveau met hun eigen Azure RBAC-machtigingen.

Overzicht

Er zijn vier spaarplanspecifieke RBAC-rollen:

• Besparingsplanbeheerder: hiermee kunt u een of meer spaarplannen in een tenant beheren en RBAC-rollen delegeren aan andere gebruikers.
• Koper van spaarplannen: hiermee kunt u spaarplannen kopen met een opgegeven abonnement.
  • Hiermee kunnen spaarplannen worden aangeschaft of gereserveerd door niet-gefactureerde beheerders en niet-ondertekenaars .
  • Aankoop van spaarplannen door niet-gefactureerde beheerders moeten zijn ingeschakeld. Zie Machtigingen voor het kopen van een Azure-spaarplan voor meer informatie.
• Inzender voor besparingen: hiermee kunt u een of meer spaarplannen in een tenant beheren, maar geen RBAC-rollen delegeren aan andere gebruikers.
• Spaarplanlezer: staat alleen-lezentoegang toe tot een of meer spaarplannen in een tenant.

Deze rollen kunnen worden toegewezen aan een specifieke resource-entiteit (bijvoorbeeld een abonnement of spaarplan) of de Microsoft Entra-tenant (directory). Zie Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)? voor meer informatie over Azure RBAC.

RBAC-rollen voor spaarplannen vereist voor acties voor spaarplannen

• Spaarplannen weergeven:
  • Tenantbereik: Gebruikers met de lezer van het spaarplan of hoger.
  • Bereik besparingsplan: ingebouwde lezer of hoger.
• Spaarplannen beheren:
  • Tenantbereik: Gebruikers met inzender voor spaarplannen of hoger.
  • Besparingsplanbereik: ingebouwde rol van inzender of eigenaar, of bijdrager voor het spaarplan of hoger.
• Machtigingen voor besparingenplan delegeren:
  • Tenantbereik: Beheerdersrechten voor gebruikerstoegang zijn vereist om RBAC-rollen toe te kennen aan alle spaarplannen in de tenant. Volg de stappen voor toegang verhogen om deze rechten te verkrijgen.
  • Bereik besparingsplan: Spaarplanbeheerder of beheerder van gebruikerstoegang.

Daarnaast kunnen gebruikers die de rol van abonnementseigenaar hebben wanneer het abonnement is gebruikt om een spaarplan aan te schaffen, ook machtigingen voor het aangeschafte spaarplan bekijken, beheren en delegeren.

Besparingsplannen weergeven met RBAC-toegang

Als u spaarplanspecifieke RBAC-rollen hebt (spaarplanbeheerder, koper, inzender of lezer), aangeschafte spaarplannen of als eigenaar aan spaarplannen zijn toegevoegd, volgt u deze stappen om spaarplannen in Azure Portal weer te geven en te beheren.

1. Meld u aan bij het Azure-portaal.
2. Selecteer Home>Savings-abonnementen om spaarplannen weer te geven waartoe u toegang hebt.

RBAC-rollen toevoegen aan gebruikers en groepen

Zie RBAC-rollen voor het delegeren van spaarplannen voor meer informatie over het delegeren van RBAC-rollen.

Ondernemingsbeheerders kunnen eigenaar worden van een order voor een spaarplan. Ze kunnen andere gebruikers toevoegen aan een spaarplan met behulp van Toegangsbeheer (IAM).

Toegang verlenen met PowerShell

Gebruikers die eigenaarstoegang hebben voor orders voor spaarplannen, gebruikers met verhoogde toegang en beheerders van gebruikerstoegang, kunnen toegangsbeheer delegeren voor alle orders voor spaarplannen waartoe ze toegang hebben.

Toegang verleend met behulp van PowerShell wordt niet weergegeven in Azure Portal. In plaats daarvan gebruikt u de get-AzRoleAssignment opdracht in de volgende sectie om toegewezen rollen weer te geven.

De rol van eigenaar toewijzen voor alle spaarplannen

Gebruik het volgende Azure PowerShell-script om een gebruiker Azure RBAC toegang te geven tot alle orders voor een spaarplan in hun Microsoft Entra-tenant (directory):

Import-Module Az.Accounts
Import-Module Az.Resources

Connect-AzAccount -Tenant <TenantId>
$response = Invoke-AzRestMethod -Path /providers/Microsoft.BillingBenefits/savingsPlans?api-version=2022-11-01 -Method GET
$responseJSON = $response.Content | ConvertFrom-JSON
$savingsPlanObjects = $responseJSON.value

foreach ($savingsPlan in $savingsPlanObjects)
{
  $savingsPlanOrderId = $savingsPlan.id.substring(0, 84)
  Write-Host "Assigning Owner role assignment to "$savingsPlanOrderId
  New-AzRoleAssignment -Scope $savingsPlanOrderId -ObjectId <ObjectId> -RoleDefinitionName Owner
}

Wanneer u het PowerShell-script gebruikt om de eigendomsrol toe te wijzen en deze wordt uitgevoerd, wordt er geen bericht geretourneerd.

Parameters

• ObjectId: Microsoft Entra-object-id van de gebruiker, groep of service-principal

  • Type: Tekenreeks
  • Aliassen: Id, PrincipalId
  • Positie: benoemd
  • Standaardwaarde: Geen
  • Invoer van pijplijn accepteren: Waar
  • Jokertekens accepteren: Onwaar

• TenantId: unieke tenant-id

  • Type: Tekenreeks
  • Positie: 5
  • Standaardwaarde: Geen
  • Invoer van pijplijn accepteren: onwaar
  • Jokertekens accepteren: Onwaar

Een beheerdersrol voor een spaarplan toevoegen op tenantniveau met behulp van een Azure PowerShell-script

Als u een beheerdersrol voor een spaarplan wilt toevoegen op tenantniveau met PowerShell, gebruikt u het volgende Azure PowerShell-script:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Administrator"

Parameters

• ObjectId: Microsoft Entra-object-id van de gebruiker, groep of service-principal

  • Type: Tekenreeks
  • Aliassen: Id, PrincipalId
  • Positie: benoemd
  • Standaardwaarde: Geen
  • Invoer van pijplijn accepteren: Waar
  • Jokertekens accepteren: Onwaar

• TenantId: unieke tenant-id

  • Type: Tekenreeks
  • Positie: 5
  • Standaardwaarde: Geen
  • Invoer van pijplijn accepteren: onwaar
  • Jokertekens accepteren: Onwaar

Een rol van inzender voor een spaarplan toewijzen op tenantniveau met behulp van een Azure PowerShell-script

Gebruik het volgende Azure PowerShell-script om de rol inzender voor het spaarplan toe te wijzen op tenantniveau met PowerShell:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Contributor"

Parameters

• ObjectId: Microsoft Entra-object-id van de gebruiker, groep of service-principal

  • Type: Tekenreeks
  • Aliassen: Id, PrincipalId
  • Positie: benoemd
  • Standaardwaarde: Geen
  • Invoer van pijplijn accepteren: Waar
  • Jokertekens accepteren: Onwaar

• TenantId: unieke tenant-id

  • Type: Tekenreeks
  • Positie: 5
  • Standaardwaarde: Geen
  • Invoer van pijplijn accepteren: onwaar
  • Jokertekens accepteren: Onwaar

Een lezerrol voor een spaarplan toewijzen op tenantniveau met behulp van een Azure PowerShell-script

Gebruik het volgende Azure PowerShell-script om de rol van lezer van het spaarplan toe te wijzen op tenantniveau met PowerShell:

Import-Module Az.Accounts
Import-Module Az.Resources
Connect-AzAccount -Tenant <TenantId>
New-AzRoleAssignment -Scope "/providers/Microsoft.BillingBenefits" -PrincipalId <ObjectId> -RoleDefinitionName "Savings plan Reader"

Parameters

• ObjectId: Microsoft Entra-object-id van de gebruiker, groep of service-principal

  • Type: Tekenreeks
  • Aliassen: Id, PrincipalId
  • Positie: benoemd
  • Standaardwaarde: Geen
  • Invoer van pijplijn accepteren: Waar
  • Jokertekens accepteren: Onwaar

• TenantId: unieke tenant-id

  • Type: Tekenreeks
  • Positie: 5
  • Standaardwaarde: Geen
  • Invoer van pijplijn accepteren: onwaar
  • Jokertekens accepteren: Onwaar

Volgende stappen

• Azure-spaarplannen beheren